1 A Trojaner
Geschäftsmodell Überwachung von Dietmar Kammerer
Man hätte es früher wissen können. Schon 1995 kam ein Bericht der britischen Bürgerrechtsorganisation Privacy International zu dem Ergebnis, dass westliche Unternehmen Geschäfte mit Diktatoren machten.1 Während der internationale Waffenhandel seit Langem zumindest nominell unter Kontrolle steht, hatte sich, von der Öffentlichkeit weitgehend unbemerkt, ein äußerst lukrativer Handel mit hoch spezialisierter Computertechnologie entwickelt. Die Studie „Big Brother Incorporated“ identifizierte 20 verschiedene Exportgüter aus dem Bereich der Spionagetechnik – von Telefonüberwachung über biometrische Identifikationssysteme bis hin zu neuen Instrumenten der Datenbankabfrage –, die autoritäre Regime in die Lage versetzten, nicht nur einzelne Personen, sondern die gesamte Bevölkerung zu überwachen.
Der Bericht nannte Namen, Adressen und Telefonkontakte der beteiligten Firmen. Großbritannien kam mit mehr als 80 Firmen am häufigsten vor, gefolgt von den USA, Frankreich, Israel, den Niederlanden und Deutschland. Die wichtigsten Empfängerländer waren China, Nigeria, Angola, Ruanda und Indonesien. Die Bürgerrechtler deckten keine Geheimnisse auf. Der Bericht stützte sich ausschließlich auf öffentlich zugängliche Quellen wie Geschäftsberichte, Zeitungsartikel oder Messebroschüren.
Was daraufhin passierte: nichts. Es waren die Neunziger. Das Internet trat seinen Siegeszug an, und Informations- und Kommunikationstechnologien waren gleichbedeutend mit dem Versprechen auf unbegrenztes Wachstum, Freiheit und Mitbestimmung. Als im Dezember 2010 zuerst in Tunesien und kurz danach in immer mehr Ländern des Nahen Ostens die Bürger auf die Straße gingen, um ihre autoritären Herrscher zu stürzen, schien es für eine kurze Zeit, als hätten die Informationstechnologien des Westens dieses Versprechen wirklich eingelöst. Die Opposition verabredete sich über soziale Netzwerke und stellte Videos von den Protesten ins Netz. Alle sollten zusehen, alle sollten mitreden können.
Das Problem: Die Geheimdienste und Polizeibehörden der bekämpften Regime hatten am eifrigsten zugesehen und mitgehört. In Bahrain wurde der Lehrer und Menschenrechtler Abdul Ghani al-Khanjar verhaftet, verprügelt und anschließend zum Verhör gezerrt. Dort konfrontierte man ihn mit Kopien seiner SMS-Nachrichten und Mitschriften von Telefongesprächen. Wie Recherchen von Journalisten ergaben, wurde der Aktivist höchstwahrscheinlich mithilfe des „Monitoring Centres“ der Firma Trovicor (ehemals Teil von Nokia Siemens Networks) ausgespäht. Al-Khanjar verbrachte mehrere Monate im Gefängnis.
Mehr Glück hatte die Bahrainer Bürgerrechtlerin und Journalistin Alaa Shehabi: Aus Vorsicht hatte sie eine verdächtige E-Mail, in der später ein Schadprogramm der deutsch-britischen Fir-ma Gamma nachgewiesen wurde, gar nicht erst geöffnet. Ein Firmensprecher wies jedoch alle Vorwürfe zurück, dass Gamma Trojaner an Diktatoren liefere, und behauptete, die Software sei ihr illegal entwendet worden.
In Syrien setzten Telekommunikationsunternehmen spezielle Server der US-Firma Blue Coat ein, um Internetverbindungen, etwa zu Facebook oder YouTube, zu filtern, zu zensieren und zu überwachen. Dem iranischen Journalisten Said Pourheydar wurden nach seiner gewaltsamen Gefangennahme Details seiner mobilen Kommunikation und seiner täglichen Bewegungen präsentiert. Wie sich herausstellte, hatte die britische Firma Creativity Software den Telekommunikationsanbieter Irancell mit Software zur Ortung von Mobiltelefonen ausgestattet.
Ende 2011 legten westliche Medien im Wochentakt Hunderte von Indizien und Beweisdokumenten dafür vor, dass es Technologien aus ihren Ländern waren, die zur Bekämpfung der Proteste und zur Unterdrückung kritischer Berichterstattung eingesetzt wurden. Der Nachrichtendienst Bloomberg berichtete in einer mehrteiligen Serie über den Einsatz westlicher Technologien zur Verfolgung und Unterdrückung von Oppositionellen im Iran, in Syrien, Bahrain und Tunesien.2 Das Wall Street Journal veröffentlichte den „Surveillance Catalogue“.3 Die Enthüllungsplattform Wikileaks stellte in Kooperation mit Journalisten und Bürgerrechtlern die „Spy Files“ ins Netz, zumeist Selbstdarstellungen von 130 Sicherheits- und Überwachungsfirmen aus 25 Staaten, von Brasilien bis zur Schweiz.4
Seither kann nicht mehr bestritten werden: Alles, was man braucht, um die Kommunikation einer kompletten Bevölkerung unter Beobachtung zu stellen, ist auf dem Markt gegen Geld zu haben. Auf 5 Milliarden Dollar pro Jahr wird der globale Umsatz mit Überwachungstechnologie geschätzt.
Eine Auswahl aus dem Angebot:5 HackingTeam: Die italienische Softwarefirma wirbt damit, „offensive Technologie“ im Angebot zu haben. Sie hat sich auf Schadsoftware spezialisiert, die beliebige Betriebssysteme oder Rechner infizieren können soll. Einmal installiert, werden sämtliche Aktivitäten der Nutzer aufgezeichnet und heimlich weitergegeben, ohne dass diese etwas da-von merken oder sich durch Verschlüsselung schützen können.
Amesys: Die französische Firma vertreibt unter anderem Hard- und Software zum Analysieren und Filtern einzelner Datenpakete im Internet (Deep Packet Inspection). Damit lassen sich alle Formen netzbasierter Kommunikation (Chats, Webmail, E-Mail, Internettelefonie) überwachen und zensieren. In Libyen wurden nach dem Sturz Gaddafis Handbücher der Firma sowie mitgeschnittene Chat-Protokolle in einer Überwachungszentrale des Regimes entdeckt.
Gamma International: Die deutsch-britische Firma vertreibt das Spionage-Tool FinFisher, das unter anderem verschlüsselte Dateien und Mails entziffern können soll. Als in infizierten Mails an eine bahrainische Menschenrechtsaktivistin Spuren von FinFisher entdeckt wurden, bestritt die Firma, ihre Produkte an das totalitäre Regime verkauft zu haben.6 Im August 2014 wurden die Vorwürfe allerdings zur Gewissheit, als ein Hacker mehr als 40 GB interne Firmendaten ins Netz stellte, darunter zahlreiche Protokolle aus dem Kundenservice. Diese belegten nicht nur, dass Gamma tatsächlich für das Königreich Bahrain tätig war, sondern auch, dass mit der Software Regimekritiker ausspioniert wurden, die anschließend meist im Gefängnis landeten.
Das Muster ist immer dasselbe. Die Unternehmen berufen sich darauf, lediglich die Hard- und Software für „lawful interception“, die legale Überwachung von Kommunikation, bereitzustellen, und reden sich damit heraus, dass es nicht in den Verantwortungsbereich der Hersteller falle, wie die Kunden die Technologie einsetzen würden.
Solch unverblümt zur Schau gestellte unternehmerische Verantwortungslosigkeit trug dazu bei, dass der öffentliche Druck stieg und die Politik reagieren musste. In zwei Verhandlungsrunden (2012 und 2013) wurde das 1996 beschlossene internationale Wassenaar-Abkommen für Exportkontrollen von konventionellen Waffen ergänzt: Zukünftig sollten auch Lieferanfragen zu Überwachungstechniken (Schadsoftware, die auf Zielrechnern installiert wird) und IP-basierten Überwachungssystemen (zur Überwachung der gesamten Netzkommunikation und zur Analyse von Metadaten) dem WA-Büro in Wien gemeldet werden.7 Zu den inzwischen 41 Unterzeichnern gehören die EU-Staaten, die USA und Russland. Wassenaar ist zwar politisch, aber nicht rechtlich bindend. Es können keine Exportverbote oder Sanktionen ausgesprochen werden. Die Selbstverpflichtung soll lediglich die anderen WA-Mitglieder über abgelehnte Lieferanfragen informieren.
Abhörgeräte und Videokameras für die Welt
Zudem sind die Exportkontrollen in jedem Land anders geregelt. Es gibt dafür keinen globalen Standard. In den USA teilen sich zum Beispiel mehrere Behörden die Verantwortung für die Exportkontrolle, was regelmäßig zu Kompetenzstreitigkeiten führt. Ein für die Ausfuhr zentrales Gesetz ist 2001 außer Kraft getreten und wurde seither nicht erneuert. Ein von Präsident Barack Obama 2009 angekündigter Reformprozess zur Vereinheitlichung wurde bislang nicht umgesetzt. Der frühere US-Verteidigungsminister Robert Gates beschrieb die Situation einmal als ein „byzantinisches Durcheinander“.
In Deutschland, das auch in Sachen Überwachungstechnologie zu den Exportmeistern gehört, gab es bis 2014 weder eine Melde- noch eine Genehmigungspflicht für die Ausfuhr von Überwachungstechnologien. Die Zollbehörden waren lediglich angehalten, darauf zu achten, dass die Regelungen von Wassenaar eingehalten werden. Erst nachdem die EU-Kommission angekündigt hatte, international verbindliche Regelungen zum Export von Spähtechnologie festzulegen, ließ Wirtschaftsminister Sigmar Gabriel im Mai 2014 vermelden, man werde den Export von Überwachungssoftware künftig wesentlich restriktiver handhaben und den Handel mit Unrechtsstaaten gänzlich untersagen.
Ein Problem wird jedoch auch dann nicht verschwinden: Selbst wenn es gelingen sollte, den Export von Abhörgeräten, Überwachungssoftware und Videoüberwachung an Diktaturen per Gesetz zu unterbinden, bleibt den Unternehmen ein weiterer Kundenkreis: die westlichen Demokratien, deren Datenhunger ebenfalls wächst. Nur dass sich hier die Überwachung nicht gegen „Dissidenten“ richtet, sondern als angeblich unverzichtbares Instrument im Kampf gegen Terrorismus, das organisierte Verbrechen oder Kinderpornografie gerechtfertigt wird.
Nicht nur das Königreich Bahrain, auch die Bundesregierung gehörte zum Kundenkreis von Gamma International. Experten der Firma programmierten im Auftrag des Bundeskriminalamts (BKA) eine erste Version des sogenannten Bundestrojaners. Im August 2014 gab das BKA allerdings bekannt, eine eigene Software zur Onlinedurchsuchung entwickelt zu haben.
Dass die Verflechtung von Staat und Sicherheitsindustrie aber nicht nur rein geschäftlicher Natur und auf den Verkauf von Produkten beschränkt ist, zeigt ein Blick in die USA. Edward Snowden war nur einer unter vielen. In den USA haben rund anderthalb Millionen Menschen Zugang zu geheimen Regierungsinformationen der höchsten Stufe (topsecret). Davon arbeiten rund eine halbe Million – jeder Dritte – für ein nichtstaatliches Vertragsunternehmen. Snowdens Arbeitgeber war die Beratungsfirma Booz Allen Hamilton, sein Arbeitsplatz war ein Büro der National Security Agency (NSA) auf Hawaii. Zutritt ins Geheimdienstgebäude bekam der zivile Systemtechniker höchstwahrscheinlich durch einen grünen Ausweis. „Green badgers“ werden die privaten Vertragsunternehmer der US-Nachrichtendienste im Jargon genannt, ihre Kollegen im Staatsdienst haben blaue Ausweise.
Das Outsourcen von Sicherheitsjobs hat in den USA eine lange Tradition. 1850 gründete der schottische Immigrant Allan Pinkerton die Pinkerton National Detective Agency, die schon bald sowohl staatliche als auch private Auftraggeber gewinnen konnte. Landesweit bekannt wurde die Agentur für Sicherheitspersonal, als sie 1861 den persönlichen Schutz von Abraham Lincoln übernahm. So begleiteten Pinkertons Agenten den frischgewählten Präsidenten auf seinem Weg zur Vereidigungszeremonie nach Washington.
Damals kursierte das Gerücht, Pinkerton habe bereits ein Mordkomplott gegen Lincoln aufgedeckt und vereitelt. Ob es nun ein Werbetrick war oder nicht: In den folgenden Jahrzehnten wurde die Agentur Pinkerton mit ihrem Motto „We never sleep“ zum Synonym für „Sicherheit“ und sowohl von der US-Regierung als auch Unternehmern mit großzügigen Aufträgen bedacht. Zeitweise verfügte die Agentur über mehr bewaffnete und militärisch ausgebildete Männer als die US-Armee. Vor allem gegen Gewerkschafter und streikende Arbeiter wurden Pinkertons Leute, die bekannt für ihre Härte waren, gern eingesetzt.
Heute haben Unternehmen wie Booz Allen Hamilton, Halliburton oder Academi (ehemals Blackwater) die Nachfolge Pinkertons angetreten. Offizielle Zahlen über den Anteil der „private contractors“ gibt es nicht. Experten schätzen, dass 70 Prozent des nationalen Sicherheitsbudgets der USA an Private gehen.8 Das wären, bei einem Budget in Höhe von 80 Milliarden Dollar, nicht weniger als 56 Milliarden Dollar pro Jahr. Mehr als die Hälfte der Spezialisten, die für die NSA arbeiten, sollen von Privatfirmen ausgeliehen sein.
Eine von der US-Regierung in Auftrag gegebene Studie, die einen detaillierten Einblick in das Ausmaß der Verstrickung der Grünen mit den Blauen hätte geben können, wurde kurz vor ihrer Veröffentlichung im April 2007 von dem damaligen Director of National Intelligence (DNI), John Michael McConnell, zur geheimen Verschlusssache erklärt.
McConnells wechselvolle Karriere spricht für sich: Unter Präsident Clinton war er von 1992 bis 1996 Chef der NSA, dann trat er in die Dienste der Firma Booz Allen Hamilton ein, zu der er nach zwei Jahren in staatlicher Besoldung 2009 übergangslos zurückkehrte. James R. Clapper, der seit 2010 Nationaler Geheimdienstdirektor ist, war davor übrigens ebenfalls viele Jahre für das Unternehmen tätig gewesen.
Möglicherweise werden sich diese Drehtüren zwischen staatlichen Sicherheitsbehörden und Privatunternehmen künftig ein klein wenig schwerer bewegen lassen. Die deutlichste Konsequenz, die die US-Regierung aus dem Snowden-Skandal zieht, könnte die Reduzierung des Anteils privater Angestellter im Bereich der nationalen Sicherheit sein. Im August 2013 kündigte der damalige NSA-Chef Keith Alexander an, von den 1 000 Systemadministratoren rund 900 zu entlassen, um das Risiko weiterer Informationslecks zu minimieren. Während sich die NSA um Schadensbegrenzung bemüht, werfen US-Kommentatoren ihrer Regierung vor, die nationale Sicherheit aufs Spiel zu setzen, wenn Patriotismus durch Profit ersetzt wird.
Nach seinem Ausscheiden aus der NSA im März 2014 hat Alexander eine Firma gegründet, die anderen Unternehmen helfen soll, sich gegen Angriffe aus dem Cyberspace zur Wehr zu setzen. Mehrere Patente sind dafür angemeldet – sein Wissen um die Details der NSA-Spähprogramme kann Alexander so gewinnbringend einsetzen. Da passt es ins Bild, dass die NSA ihre Technologie auch selbst versilbern lässt, indem sie sie im Rahmen eines Technology Transfer Program patentiert und an zahlende Firmen ausleiht.9
Und was geht dieses Problem die Europäer an? Wenn die NSA ohnehin nach Belieben andere Länder ausspäht, welchen Unterschied macht es, ob die Überwacher einen grünen oder einen blauen Ausweis tragen? Einen gewaltigen. Private Firmen sind der Öffentlichkeit keinerlei Rechenschaft schuldig. Ihre Kontrolle durch staatliche Organe ist kaum möglich, zu sehr sind diese auf die Mithilfe oder gar Anleitung durch private Experten angewiesen. Sie sorgen in der ohnehin klandestinen Welt der Geheimdienste für noch mehr Intransparenz und operieren oftmals in einer legalen Grauzone, wie unter anderem der Skandal um die Blackwater-Söldner im Irak gezeigt hat.10
Diese Praxis ist nicht nur in den USA üblich: Im Juli 2014 hat das Rüstungsunternehmen Rheinmetall AG den früheren Entwicklungsminister Dirk Niebel (FDP) als Berater und Lobbyisten unter Vertrag genommen. Die Abwerbung hochrangiger Regierungsmitglieder durch Privatunternehmen, die mit hoch dotierten Jobs locken, birgt gravierende Risiken – nicht nur weil im Staatsdienst gesammelte Kontakte, Informationen und Erfahrungen in den Dienst der Gewinnsteigerung gestellt werden. Die ehemaligen Politiker und Beamte wissen am besten, wie Exportbeschränkungen für Technologien gegebenenfalls aufgehoben werden können. Auch wenn sie im Privatauftrag unterwegs sind, können sie einem Antrag auf Ausfuhrgenehmigung ein offizielles Gesicht geben. Und sie kennen die Argumente, mit denen sie Regierungen und ehemalige Parteikollegen überzeugen können, dass die Dienste, die ihre Arbeitgeber anbieten, für das Wohl des Landes unverzichtbar sind.
So bleibt in Zeiten einer Politik, die Sicherheit verspricht, vor allem eines sicher: Das Angebot und die Nachfrage an Techniken der Überwachung ergeben in der Summe immer ein glänzendes Geschäft für alle Beteiligten. Nur nicht für die Demokratien und ihre Bürger.